Gestión de Riesgos en Seguridad Informática

Es el proceso de reconocer y evaluar amenazas y vulnerabilidades que afectan la seguridad de la información.

Es el proceso de implementar medidas de seguridad en la información.

Es la creación de copias de seguridad de los datos importantes.

Es la evaluación de la satisfacción del usuario con respecto a la información.

Falta de capacitación en ciberseguridad

Infecciones por malware en dispositivos de red

Amenazas internas, amenazas externas, vulnerabilidades tecnológicas, errores humanos, desastres naturales.

Fugas de información por mal uso de contraseñas

Controles de seguridad como autenticación, cifrado, formación, firewalls y auditorías.

Uso de contraseñas simples

No realizar auditorías

Desactivación de firewalls

Se evalúa mediante auditorías y pruebas de penetración.

Se evalúa mediante encuestas a empleados.

Se evalúa a través de la revisión de documentos.

Se evalúa con la implementación de nuevas tecnologías.

ISO 9001

ISO/IEC 27001

COBIT 5

NIST SP 800-53

El cumplimiento normativo es esencial para proteger datos, evitar sanciones y fomentar la confianza.

El cumplimiento normativo solo es relevante para las empresas grandes.

Es un proceso que solo se aplica a la tecnología de la información.

No tiene impacto en la protección de datos personales.

Identificación, evaluación, priorización, planificación de respuestas y monitoreo de riesgos.

Monitoreo de riesgos y eliminación de todos los riesgos.

Planificación de respuestas y cierre del proyecto.

Identificación y evaluación únicamente.

Reducir la cantidad de reuniones sobre seguridad.

Fomentar la competencia entre empleados en lugar de la colaboración.

Implementar capacitación continua y promover la comunicación abierta sobre riesgos.

Implementar un sistema de castigos por errores.